入侵 SEC 官方 X 帐号、假传圣旨「核准比特币 ETF」！美 25 岁骇客坦承犯行

去年 1 月骇入美国证管会（SEC）官方 X 帐号，因而导致帐号被盗用于发布假贴文、佯称「已核准比特币现货 ETF 上市」的男子 Eric Council Jr.，于周一在华盛顿特区联邦法院认罪。

这起事件发生在 2024 年 1 月 9 日，当时美国 SEC 的官方 X 帐号发文称 「已核准比特币 ETF 在所有注册的全国证交所上市」，由于时间点与 ETF 审核截止日相近，许多投资人一度信以为真，市场情绪瞬间沸腾，比特币也应声飙涨超过 1 千美元至 4.8 万美元。

但随后 SEC 主席 Gary Gensler 出面澄清是「帐号被骇客盗用」，并未有任何比特币现货 ETF 获得批准，市场热情被泼冷水，比特币随即下跌至 4.5 万美元。

根据美国司法部（DoJ）的声明，25 岁的 Eric Council Jr. 被指控与共犯合谋骇入 SEC 帐号，他于去年 10 月落网后，周一在法院认罪，罪名包括 「共谋严重身分盗窃罪」及 「存取设备诈欺罪」，最高可能面临 5 年徒刑，量刑预计会在 5 月 16 日宣判。

此外， Eric Council Jr. 也同意被没收 5 万美元，这笔款项来自共犯支付给他的「骇客酬劳」，并透过比特币支付。

骇客手法曝光：SIM 卡挟持攻击 + 伪造身分证件

根据美国司法部说法， Eric Council Jr.  在网路上使用「Ronin」、「Easymunny」和「AGiantSchnauzer」等化名，并运用「SIM 卡挟持攻击（SIM Swap Attack）」的手法，窃取了与 SEC 官方 X 帐号绑定的手机门号，进而取得帐号控制权。

检方详细揭露了骇客入侵的过程：

1. 伪造身份证件： Eric Council Jr. 利用特殊设备伪造了一张假身分证，受害者个资由共犯提供。
2. 冒充受害者： Eric Council Jr. 使用假身分证骗取电信业者的信任，要求将受害者的手机门号转移到自己掌控的 SIM 卡上。
3. 夺取 SEC 帐号控制权：手机门号成功转移后，骇客透过简讯验证登入 SEC 的官方 X 帐号，并发布假消息。

值得一提的是，美国 SEC 在事发后隔天正式核准了比特币现货 ETF 。虽然这起骇客攻击最终未影响 SEC 的决策进程，但却揭露了金融监管机构在社群媒体帐号资安方面的漏洞，也让市场投资人对资讯真实性更加警惕。